- 23,655
- 46
- 8 Ноя 2022
Маленькое окно площадью в один пиксель теперь знает о вас всё.
Разработчики остаются одной из приоритетных целей киберпреступников — новые вредоносные кампании всё чаще используют инструменты и среды, напрямую связанные с процессом создания программного обеспечения. Очередным подтверждением этого стала выявленная атака с использованием вредоноса Evelyn Stealer, распространяемого через расширения для Visual Studio Code .
По данным Trend Micro, Evelyn Stealer нацелен на кражу учётных данных разработчиков, информации о криптовалютах и другой чувствительной информации. Компрометация рабочей среды разработчика может также стать точкой входа для атак на более широкие корпоративные системы, особенно если затронутые специалисты имеют доступ к облачным ресурсам или продакшен-средам.
Кампания ориентирована на тех, кто активно использует сторонние расширения для VS Code. В декабре специалисты Koi Security первыми сообщили о вредоносных надстройках BigBlack.bitcoin-black, BigBlack.codo-ai и BigBlack.mrbigblacktheme, которые устанавливали DLL-файл под названием Lightshot.dll. Он запускал скрытую команду PowerShell, которая в свою очередь загружала исполняемый файл runtime.exe. Этот компонент расшифровывал основной вредоносный модуль и внедрял его в доверенный системный процесс Windows — grpconv.exe. Таким способом Evelyn Stealer получал возможность действовать скрытно и экспортировать украденные данные на сервер злоумышленников через FTP.
Среди собираемой информации — содержимое буфера обмена, список установленных приложений, данные криптовалютных кошельков , активные процессы, снимки экрана рабочего стола, сохранённые Wi‑Fi-пароли, системные сведения и данные из браузеров Google Chrome и Microsoft Edge, включая куки и сохранённые пароли. Вредонос также умеет обнаруживать виртуальные среды и инструменты анализа, завершает процессы браузеров, чтобы снизить риск сбоев при извлечении данных.
Для дополнительной маскировки используются специальные параметры запуска браузеров. В их числе — отключение графических ускорителей, расширений и логирования, перевод окна в фоновый режим с минимальным размером 1х1 пиксель, а также обход экранов настройки. Такое поведение затрудняет обнаружение и вмешательство со стороны защитных решений.
Отдельной защитной мерой вредонос использует механизм мьютекса — объект синхронизации, не позволяющий одновременно запустить несколько копий вредоносного кода на одном устройстве. По оценке Trend Micro, кампания с участием Evelyn Stealer демонстрирует всё более целенаправленную работу злоумышленников против разработчиков , которые представляют собой особенно ценные цели в контексте безопасности программного обеспечения.
На фоне этих событий были также зафиксированы два новых семейства вредоносных программ, написанных на Python: MonetaStealer и SolyxImmortal . Первый может работать в том числе на macOS, а второй использует системные API и сторонние библиотеки для сбора информации, передавая её через Discord-вебхуки. В CYFIRMA отмечают, что SolyxImmortal делает ставку на скрытность и постоянное присутствие, избегая деструктивных действий и активно используя доверенные платформы для связи с командным сервером.
Разработчики остаются одной из приоритетных целей киберпреступников — новые вредоносные кампании всё чаще используют инструменты и среды, напрямую связанные с процессом создания программного обеспечения. Очередным подтверждением этого стала выявленная атака с использованием вредоноса Evelyn Stealer, распространяемого через расширения для Visual Studio Code .
По данным Trend Micro, Evelyn Stealer нацелен на кражу учётных данных разработчиков, информации о криптовалютах и другой чувствительной информации. Компрометация рабочей среды разработчика может также стать точкой входа для атак на более широкие корпоративные системы, особенно если затронутые специалисты имеют доступ к облачным ресурсам или продакшен-средам.
Кампания ориентирована на тех, кто активно использует сторонние расширения для VS Code. В декабре специалисты Koi Security первыми сообщили о вредоносных надстройках BigBlack.bitcoin-black, BigBlack.codo-ai и BigBlack.mrbigblacktheme, которые устанавливали DLL-файл под названием Lightshot.dll. Он запускал скрытую команду PowerShell, которая в свою очередь загружала исполняемый файл runtime.exe. Этот компонент расшифровывал основной вредоносный модуль и внедрял его в доверенный системный процесс Windows — grpconv.exe. Таким способом Evelyn Stealer получал возможность действовать скрытно и экспортировать украденные данные на сервер злоумышленников через FTP.
Среди собираемой информации — содержимое буфера обмена, список установленных приложений, данные криптовалютных кошельков , активные процессы, снимки экрана рабочего стола, сохранённые Wi‑Fi-пароли, системные сведения и данные из браузеров Google Chrome и Microsoft Edge, включая куки и сохранённые пароли. Вредонос также умеет обнаруживать виртуальные среды и инструменты анализа, завершает процессы браузеров, чтобы снизить риск сбоев при извлечении данных.
Для дополнительной маскировки используются специальные параметры запуска браузеров. В их числе — отключение графических ускорителей, расширений и логирования, перевод окна в фоновый режим с минимальным размером 1х1 пиксель, а также обход экранов настройки. Такое поведение затрудняет обнаружение и вмешательство со стороны защитных решений.
Отдельной защитной мерой вредонос использует механизм мьютекса — объект синхронизации, не позволяющий одновременно запустить несколько копий вредоносного кода на одном устройстве. По оценке Trend Micro, кампания с участием Evelyn Stealer демонстрирует всё более целенаправленную работу злоумышленников против разработчиков , которые представляют собой особенно ценные цели в контексте безопасности программного обеспечения.
На фоне этих событий были также зафиксированы два новых семейства вредоносных программ, написанных на Python: MonetaStealer и SolyxImmortal . Первый может работать в том числе на macOS, а второй использует системные API и сторонние библиотеки для сбора информации, передавая её через Discord-вебхуки. В CYFIRMA отмечают, что SolyxImmortal делает ставку на скрытность и постоянное присутствие, избегая деструктивных действий и активно используя доверенные платформы для связи с командным сервером.
- Источник новости
- www.securitylab.ru
